Харденинг I2Pd с AppArmor

Харденинг (Hardening) — процесс усиления защищенности системы с целью снижения рисков от возможных угроз. Данный процесс применяется ко всем компонентам системы.

Цитируя Википедию:

«AppArmor — программный инструмент упреждающей защиты, основанный на политиках безопасности (известных также как профили), которые определяют, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. В AppArmor включён набор стандартных профилей, а также инструменты статического анализа и инструменты, основанные на обучении, позволяющие ускорить и упростить построение новых профилей.»

Это отличный инструмент для усиления безопасности для любого из ваших приложений на Linux, включая I2Pd. Сейчас мы добавим профиль I2Pd для AppArmor, который вы можете просто поместить в каталог профилей, и он будет работать.

Инструкция

Во-первых, убедитесь, что у вас установлен AppArmor и работает. Выполните следующие действия:

sudo apparmor_status

Если у вас есть AppArmor, он должен выдать apparmor module is loaded. и перечень доступных правил. Если нет, то следуйте инструкции по установке AppArmor: Ubuntu (должен быть установлен по умолчанию), Debian, Arch Linux, Gentoo.

После того, как вы установили и включили AppArmor, надо скачать и скопировать профиль в каталог профилей. В Debian / Ubuntu:

wget -O usr.sbin.i2pd https://raw.githubusercontent.com/PurpleI2P/i2pd/openssl/contrib/apparmor/usr.sbin.i2pd && sudo cp usr.sbin.i2pd /etc/apparmor.d/

И, наконец, активировать его:

sudo aa-enforce /usr/sbin/i2pd

Теперь, каждое действие, которое не допускается профилем будет ограничено, и такое событие будет записываться в системный журнал. Вы можете периодически проверять регистрируемые события с помощью следующей команды:

sudo aa-logprof

Как правило, журнал должен быть пуст (что хорошо).

Замечания

Профиль предназначен для Debian/Ubuntu и был протестирован с базовыми настройками i2pd. Вы можете настроить его в соответствии с вашей конкретной ситуации.

Замечания приветствуются на GitHub.